# Bases du pilier Sécurité
<a name="a-sec-security"></a>

**Topics**
+ [

# SEC 1  Comment gérer votre charge de travail en toute sécurité ?
](w2aac19b7b5b5.md)

# SEC 1  Comment gérer votre charge de travail en toute sécurité ?
<a name="w2aac19b7b5b5"></a>

 Vous devez appliquer de bonnes pratiques générales à chaque domaine de la sécurité pour réussir à gérer votre charge de travail en toute sécurité. Appliquez à tous les domaines les conditions et les processus que vous avez définis en matière d'excellence opérationnelle au niveau de l'organisation et de la charge de travail. La connaissance des recommandations actuelles d'AWS et du secteur ainsi que des renseignements sur les menaces vous aide à faire évoluer votre modèle de menace et vos objectifs de contrôle. L'automatisation des processus de sécurité, des tests et de la validation, vous permet de mettre à l'échelle vos opérations de sécurité. 

**Topics**
+ [

# SEC01-BP01 Séparer les charges de travail à l'aide de comptes
](sec_securely_operate_multi_accounts.md)
+ [

# SEC01-BP02 Sécuriser un Compte AWS
](sec_securely_operate_aws_account.md)
+ [

# SEC01-BP03 Identifier et valider les objectifs de contrôle
](sec_securely_operate_control_objectives.md)
+ [

# SEC01-BP04 Rester informé des menaces de sécurité
](sec_securely_operate_updated_threats.md)
+ [

# SEC01-BP05 Connaître les recommandations de sécurité
](sec_securely_operate_updated_recommendations.md)
+ [

# SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines
](sec_securely_operate_test_validate_pipeline.md)
+ [

# SEC01-BP07 Identifier et hiérarchiser les risques à l'aide d'un modèle de menaces
](sec_securely_operate_threat_model.md)
+ [

# SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité
](sec_securely_operate_implement_services_features.md)

# SEC01-BP01 Séparer les charges de travail à l'aide de comptes
<a name="sec_securely_operate_multi_accounts"></a>

Privilégiez la sécurité et l'infrastructure afin de définir pour votre organisation des protections communes au fur et à mesure que vos charges de travail augmentent. Cette approche fournit des frontières et des contrôles entre les charges de travail. La séparation au niveau des comptes est fortement recommandée pour isoler les environnements de production des environnements de développement et de test, ou pour établir une solide frontière logique entre les charges de travail qui traitent des données avec différents niveaux de sensibilité, tel que défini par les exigences de conformité externes (comme PCI-DSS ou HIPAA), et les charges de travail qui ne le font pas.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Utiliser AWS Organizations : utilisez AWS Organizations pour appliquer de manière centralisée la gestion basée sur des politiques pour différents Comptes AWS. 
  + [Démarrer avec AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  + [Comment utiliser des politiques de contrôle des services pour définir des protections par autorisation dans les comptes de votre organisation AWS](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 
+  Envisager AWS Control Tower : AWS Control Tower offre un moyen simple de configurer et de gérer un nouvel environnement AWS sécurisé à plusieurs comptes sur la base de bonnes pratiques. 
  +  [AWS Control Tower](https://aws.amazon.com/controltower/) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [Bonnes pratiques IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html?ref=wellarchitected)
+  [Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins)
+  [Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html?ref=wellarchitected)

 **Vidéos connexes :** 
+ [Managing Multi-Account AWS Environments Using AWS Organizations](https://youtu.be/fxo67UeeN1A) 
+ [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM) 
+ [Using AWS Control Tower to Govern Multi-Account AWS Environments ](https://youtu.be/2t-VkWt0rKk) 

# SEC01-BP02 Sécuriser un Compte AWS
<a name="sec_securely_operate_aws_account"></a>

La sécurisation de vos Comptes AWS implique divers aspects, notamment la sécurisation, et la non l'utilisation, de l' [utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), et la mise à jour des informations de contact. Vous pouvez utiliser [AWS Organizations](https://aws.amazon.com/organizations/) pour gérer et contrôler de manière centralisée vos comptes à mesure que vous développez et mettez à l'échelle vos charges de travail AWS. AWS Organizations vous aide à gérer des comptes, à définir des contrôles et à configurer des services sur vos comptes. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Utiliser AWS Organizations : utilisez AWS Organizations pour appliquer de manière centralisée la gestion basée sur des politiques pour différents Comptes AWS. 
  +  [Démarrer avec AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  +  [Comment utiliser des politiques de contrôle des services pour définir des protections par autorisation dans les comptes de votre organisation AWS](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+  Limiter l'utilisation de l'utilisateur racine AWS : ayez uniquement recours à l'utilisateur racine pour effectuer des tâches qui le nécessitent spécifiquement. 
  + [ Tâches AWS nécessitant des informations d'identification utilisateur racine AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+  Activer l'authentification multifacteur (MFA) pour l'utilisateur racine : activez MFA au niveau de l'utilisateur racine du Compte AWS si AWS Organizations ne gère pas les utilisateurs racine pour vous. 
  +  [Utilisateur racine ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+  Changer régulièrement le mot de passe de l'utilisateur racine : la modification du mot de passe de l'utilisateur racine réduit le risque qu'un mot de passe enregistré puisse être réutilisé. Ceci est particulièrement important si vous n'utilisez pas AWS Organizations et que l'accès physique est ouvert. 
  + [ Modification du mot de passe d'utilisateur racine du Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+  Activer la notification lorsque l'utilisateur racine d'un Compte AWS est utilisé : la notification automatique réduit les risques. 
  + [ Comment recevoir des notifications lorsque les clés d'accès racine de votre Compte AWS sont utilisées ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+  Restreindre l'accès aux régions nouvellement ajoutées : pour les nouvelles Régions AWS, les ressources IAM comme les utilisateurs et les rôles sont uniquement propagées vers les régions que vous activez. 
  + [ Définition des autorisations pour activer les comptes pour les Régions AWS à venir ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+  Envisager AWS CloudFormation StackSets: : CloudFormation StackSets peut être utilisé pour déployer des ressources, y compris les politiques, rôles et groupes IAM, dans différentes régions et différents Comptes AWS à partir d'un modèle approuvé. 
  + [ Utiliser CloudFormation StackSets ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ Bonnes pratiques IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+  [Bulletins de sécurité ](https://aws.amazon.com/security/security-bulletins/)

 **Vidéos connexes :** 
+ [ Permettre l'adoption d'AWSà grande échelle grâce à l'automatisation et à la gouvernance ](https://youtu.be/GUMSgdB-l6s)
+ [ Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM)

 **Exemples connexes :** 
+ [ Atelier : Compte AWS et utilisateur racine ](https://youtu.be/u6BCVkXkPnM)

# SEC01-BP03 Identifier et valider les objectifs de contrôle
<a name="sec_securely_operate_control_objectives"></a>

 Fixez et validez les objectifs de contrôle et les contrôles que vous devez appliquer à votre charge de travail en fonction de vos exigences de conformité et des risques identifiés à partir de votre modèle de menace. La validation continue des objectifs de contrôle et des contrôles permet de mesurer l'efficacité de l'atténuation des risques. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Identifier les exigences de conformité : découvrez les exigences organisationnelles, juridiques et de conformité que votre charge de travail doit nécessairement respecter. 
+  Identifier les ressources de conformité AWS : identifiez les ressources que propose AWS pour vous aider à rester conforme. 
  +  [https://aws.amazon.com/compliance/ ](https://aws.amazon.com/compliance/)
  + [ https://aws.amazon.com/artifact/](https://aws.amazon.com/artifact/) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+ [ Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/) 

 **Vidéos connexes :** 
+  [AWS Security Hub CSPM : gérer les alertes de sécurité et automatiser la conformité](https://youtu.be/HsWtPG_rTak) 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP04 Rester informé des menaces de sécurité
<a name="sec_securely_operate_updated_threats"></a>

 Identifiez les vecteurs d'attaque en restant informé des dernières menaces de sécurité afin de définir et de mettre en œuvre les contrôles appropriés. Utilisez AWS Managed Services pour faciliter la réception des notifications de comportement inattendu ou inhabituel dans vos comptes AWS. Réalisez vos investigations à l'aide d'outils partenaires AWS ou de flux d'informations sur les menaces tiers dans le cadre de votre flux d'informations de sécurité. La [liste des vulnérabilités et risques communs (CVE) ](https://cve.mitre.org/) contient des vulnérabilités de cybersécurité divulguées publiquement, que vous pouvez utiliser pour rester à jour. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  S'abonner aux sources d'informations sur les menaces : consultez régulièrement les informations sur les menaces issues de plusieurs sources spécifiques aux technologies utilisées dans votre charge de travail. 
  +  [Liste des vulnérabilités et risques communs (CVE) ](https://cve.mitre.org/)
+  Envisager le service [AWS Shield Advanced](https://aws.amazon.com/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc) : offre une visibilité quasiment en temps réel sur les sources d'informations si votre charge de travail est accessible sur Internet. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [ Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [AWS Shield](https://aws.amazon.com/shield/) 
+ [ Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/) 

 **Vidéos connexes :** 
+ [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP05 Connaître les recommandations de sécurité
<a name="sec_securely_operate_updated_recommendations"></a>

 Tenez-vous au courant des recommandations AWS et des recommandations de sécurité pertinentes pour faire évoluer le niveau de sécurité de votre charge de travail. [Les bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc&awsf.bulletins-year=year%232009) contiennent des informations importantes sur les notifications de sécurité et de confidentialité. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Suivre l'actualité AWS : abonnez-vous ou consultez régulièrement les nouvelles recommandations, ainsi que les conseils et astuces. 
  +  [Ateliers AWS Well-Architected](https://wellarchitectedlabs.com/?ref=wellarchitected) 
  +  [Blog sur la sécurité AWS](https://aws.amazon.com/blogs/security/?ref=wellarchitected) 
  +  [Documentation des services AWS](https://aws.amazon.com/documentation/?ref=wellarchitected) 
+  S'abonner aux sources d'actualité sur le secteur : consultez régulièrement les flux d'actualités issus de plusieurs sources pertinentes pour les technologies qui sont utilisées dans votre charge de travail. 
  +  [Exemple : liste des vulnérabilités et risques communs (CVE)](https://cve.mitre.org/cve/?ref=wellarchitected) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Bulletins de sécurité](https://aws.amazon.com/security/security-bulletins/) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP06 Automatiser les tests et la validation des contrôles de sécurité dans les pipelines
<a name="sec_securely_operate_test_validate_pipeline"></a>

 Établissez des bases et des modèles sécurisés pour les mécanismes de sécurité qui sont testés et validés dans le cadre de votre version, de vos pipelines et de vos processus. Utilisez des outils et l'automatisation pour tester et valider en continu tous les contrôles de sécurité. Par exemple, analysez des éléments tels que les images machine et les modèles d'infrastructure en tant que de code pour détecter les failles, les irrégularités et les dérives de sécurité par rapport à des points de référence établis à chaque étape. AWS CloudFormation Guard permet de vérifier que les modèles CloudFormation sont sûrs, vous font gagner du temps et réduisent le risque d'erreur de configuration. 

Il est essentiel de réduire le nombre d'erreurs de configuration de sécurité introduites dans un environnement de production : plus vous contrôlez la qualité et réduisez les défauts dans le processus de génération, mieux c'est. Concevez des pipelines d'intégration et de déploiement continus (CI/CD, continuous integration and continuous deployment) pour tester la sécurité dans la mesure du possible. Les pipelines CI/CD offrent la possibilité d'améliorer la sécurité à chaque étape de la création et de la distribution. Les outils de sécurité CI/CD doivent être également maintenus à jour pour atténuer l'évolution des menaces.

Suivez les modifications apportées à la configuration de votre charge de travail pour faciliter les audits de conformité, la gestion des modifications et les enquêtes susceptibles de vous concerner. Vous pouvez utiliser AWS Config pour enregistrer et évaluer vos ressources AWS et tierces. Il vous permet d'auditer et d'évaluer en continu la conformité globale avec les règles et les packs de conformité, qui sont des ensembles de règles avec des actions correctives.

Le suivi des modifications doit inclure les modifications planifiées, qui font partie du processus de contrôle des modifications de votre organisation (parfois appelé MACD), les modifications non planifiées et les modifications inattendues, telles que les incidents. Des modifications peuvent se produire sur l'infrastructure, mais elles peuvent également être liées à d'autres catégories, telles que des changements dans les référentiels de code, des modifications au niveau des images machine et de l'inventaire d'applications, des modifications de processus et de politique ou des modifications de documentation.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Automatiser la gestion de la configuration : appliquez et validez des configurations sécurisées automatiquement à l'aide d'un service ou d'un outil de gestion de la configuration. 
  +  [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 
  +  [AWS CloudFormation](https://aws.amazon.com/cloudformation/)
  +  [Configuration d'un pipeline CI/CD sur AWS](https://aws.amazon.com/getting-started/projects/set-up-ci-cd-pipeline/)

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Comment utiliser des politiques de contrôle des services pour définir des protections par autorisation dans les comptes de votre organisation AWS](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/) 

 **Vidéos connexes :** 
+  [Managing Multi-Account AWS Environments Using AWS Organizations](https://youtu.be/fxo67UeeN1A) 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP07 Identifier et hiérarchiser les risques à l'aide d'un modèle de menaces
<a name="sec_securely_operate_threat_model"></a>

 Utilisez un modèle de menaces afin d'identifier et de maintenir à jour un registre des menaces potentielles. Hiérarchisez vos menaces et adaptez vos contrôles de sécurité pour les prévenir, les détecter et y répondre. Ajustez et maintenez ces mesures en fonction de l'évolution de l'environnement de sécurité. 

La modélisation des menaces fournit une approche systématique pour aider à identifier et à résoudre les problèmes de sécurité dès le début du processus de conception. La détection doit avoir lieu aussi tôt que possible, car le coût lié à la résolution des problèmes à ce stade est inférieur à celui d'un stade plus avancé dans le cycle de vie.

Voici les principales étapes typiques du processus de modélisation des menaces :

1. Identifiez les ressources, les acteurs, les points d'entrée, les composants, les cas d'utilisation et les niveaux de confiance, et incluez-les dans un diagramme de conception.

1. Identifiez une liste de menaces.

1. Pour chaque menace, identifiez les mesures correctives, qui peuvent inclure des implémentations de contrôle de sécurité.

1. Créez et examinez une matrice des risques pour déterminer si la menace est suffisamment atténuée.

La modélisation des menaces est plus efficace lorsqu'elle est effectuée au niveau de la charge de travail (ou de la fonctionnalité de charge de travail), garantissant que tout le contexte est disponible pour l'évaluation. Revisitez et maintenez cette matrice à mesure que votre environnement de sécurité évolue.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Créer un modèle de menaces : un modèle de menaces peut vous aider à identifier les menaces de sécurité potentielles et y faire face. 
  +  [NIST : Guide de modélisation des menaces système centrées sur les données ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Directives d'audit de sécurité AWS](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+  [Bulletins de sécurité ](https://aws.amazon.com/security/security-bulletins/)

 **Vidéos connexes :** 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 

# SEC01-BP08 Évaluer et mettre en œuvre régulièrement de nouveaux services et de nouvelles fonctions de sécurité
<a name="sec_securely_operate_implement_services_features"></a>

 Évaluez et mettez en œuvre les services et fonctions de sécurité proposés par AWS et les partenaires AWS qui vous permettent de faire évoluer le niveau de sécurité de votre charge de travail. Le blog sur la sécurité AWSmet en évidence les nouveaux services et fonctionnalités AWS, les guides de mise en œuvre et des conseils généraux de sécurité. [Les nouveautés AWS](https://aws.amazon.com/new) représentent un excellent moyen de se tenir au courant de tous les nouveaux services, fonctionnalités et annonces AWS. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Planifier des vérifications régulières : créez un calendrier d'activités de révision qui inclut les exigences de conformité, l'évaluation des nouvelles fonctionnalités et des nouveaux services de sécurité AWS et des créneaux pour rester informé des actualités du secteur. 
+  Découvrir les services et fonctions AWS : découvrez les fonctions de sécurité qui sont disponibles pour les services que vous utilisez. Évaluez les nouvelles fonctions au fur et à mesure qu'elles sont publiées. 
  + [ Blog sur la sécurité AWS](https://aws.amazon.com/blogs/security/) 
  + [ Bulletins de sécurité AWS](https://aws.amazon.com/security/security-bulletins/)
  +  [Documentation des services AWS](https://aws.amazon.com/documentation/)
+  Définir le processus d'intégration des services AWS : définissez les processus d'intégration des nouveaux services AWS. Incluez la manière d'évaluer le fonctionnement des nouveaux services AWS et les exigences en matière de conformité pour votre charge de travail. 
+  Tester les nouveaux services et les nouvelles fonctions : testez les nouveaux services et les nouvelles fonctions au fil de leur publication dans un environnement hors production qui réplique fidèlement votre environnement de production. 
+  Mettre en place d'autres mécanismes de défense : implémentez des mécanismes automatisés pour défendre votre charge de travail et explorez les options disponibles. 
  +  [Correction des ressources AWS non conformes à l'aide de règles AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)

## Ressources
<a name="resources"></a>

 **Vidéos connexes :** 
+  [Bonnes pratiques de sécurité : une approche Well-Architected ](https://youtu.be/u6BCVkXkPnM)